Neviditelná hrozba: krádež dat přes hodinky
Zařízení, která jsou izolována od ostatních sítí a internetu, a v případě potřeby komunikují pouze specifickými metodami (air-gapped), byla vždy považována za bezpečná. Doposud do této kategorie spadaly i některé modely chytrých hodinek. Bezpečnostní výzkumník ovšem prokázal, že ani tato zařízení nejsou zcela odolná vůči zranitelnostem.
Speciální malware, který se dostane na některé z propojitelných zařízení například z infikovaného USB klíče, může přenášet různá data – včetně hesel – do chytrých hodinek prostřednictvím vysokofrekvenčních zvukových vln.
Mohlo by vás zajímat
Termínem air-gapped, což by se dalo volně přeložit jako oddělená vzduchem, se v technické branži označují zařízení, která nemají fyzické připojení. Do této kategorie patří elektronika, která zpravidla nedisponuje konektivitou prostřednictvím Wi-Fi, LAN nebo Bluetooth a data se do zařízení přenáší pouze „ručně“, například přes USB flash disky, nebo externí pevné disky.
Typickými oblastmi, kde se air-gapped systémy používají, jsou vojenské účely, výzkumné laboratoře nebo průmyslové řídící systémy. Obecně jde o prostředí, kde se klade vysoký důraz na ochranu citlivých informací před útoky ze vnějšího prostředí a vyžaduje se maximální bezpečnost IT.
Zdroj: Al Amin Mir/Unsplash
Malware lze šířit pomocí zvuku
Bezpečnostní výzkumník nový vektor útoku demonstroval využitím zvukových vln na hranici slyšitelnosti lidským uchem. Pro nulu využil frekvenci 18,5 kHz a pro jedničku 19,5 kHz.
Chytré hodinky, které byly umístěny do blízkosti zdroje zvuku, mohly tyto tóny zachytit a následně přenést data na server ovládaný útočníkem přes Wi-Fi, Bluetooth nebo mobilní data. Tato metoda umožňuje skrytý únik dat z vysoce zabezpečených prostředí.
Mohlo by vás zajímat
Rizika a ochranná opatření
Dosah přenosu zvukových vln je sice omezen na vzdálenost šesti až devíti metrů, což zneužití popsané metody ztěžuje. Nicméně dosažitelná rychlost přenosu až 50 bitů za sekundu je dostatečná k tomu, aby došlo během krátké doby k exfiltraci kritických informací – například hesel.
Bezpečnostní experti proto doporučují zakázat chytré hodinky a podobná zařízení nositelné elektroniky, osazená mikrofonem, v kritických prostředích z hlediska bezpečnosti.
Alternativní ochranou před popsanou metodou útoku může být generování vysokofrekvenčního šumu, který by přenos dat narušil. Bezpečnostní expert, který na novou metodu útoku upozornil, také vyzývá k vývoji nových obranných prostředků pro air-gapped systémy. Jen tak bude možné je ochránit před stále sofistikovanějšími technikami útoku.
Zdroj: Cornell University
